マネージドセキュリティサービス

HOME > サービス > マネージドセキュリティサービス >セキュリティログ分析・活用支援サービス

セキュリティログ分析・活用支援サービス

セキュリティサービス

蓄積されている各種ログの分析から統合ログ管理・分析環境(Splunk)の構築・運用までトータルにサポート

セキュリティログの取得と保管は、官公庁からの推奨や各種セキュリティ認定の条件にも指定されており、今や組織の事業継続性を維持する上で企業が行うべき事項へと変化しています。その一方で大量の取得したログをどう活用したらよいのかわからず、ただ保管のみをしている企業や、分析に活用する努力をしているもののポリシーが明確化されていないために、「何のための分析なのか」という目的を見失っている企業が多々みられます。

BBSecのセキュリティログ分析・活用支援サービスは、企業をサイバー攻撃から守るために、蓄積されている各種ログの分析や有効活用に向けたコンサルティング、統合ログ管理・分析システム(SIEM)の導入からその運用までを包括的に支援する総合サービスです。すでにシステムを保有している企業も、またこれから導入をしようとしている企業にも、企業ポリシーや体制にあった最適なログ分析を実現できるよう、支援いたします。。
※統合ログ管理・分析システム(SIEM)は、マーケットシェアの高いSplunkをベースとしています。

サービス構成

すでに保有しているログを分析することでサイバー脅威リスクやコンプライアンス違反を可視化し、リスクを低減するための環境構築を共に考え、それを運用へとつなげていきます。

検証・可視化フェーズ
ログ分析サービス

一定期間(1~3ヶ月)のログをお預かりし、ログから不正挙動の痕跡を可視化してリスクを顕在化します。

分析対象ログ

調査観点 分析手法例
Firewall/UTM
トラフィックログ
マルウェア感染が疑われる通信
  • ・マルウェアの通信先情報とのマッチング
  • ・マルウェア特有の通信パターンの検出
将来的なリスクとなりうる通信
  • ・脆弱なプロトコル(Telnetなど)の利用
内部持ち出しにつながりうる通信
  • ・オンラインストレージに対する通信の調査
  • ・WEBメールサービスに対する通信の調査
Proxy
アクセスログ
マルウェア感染が疑われる通信
  • ・マルウェアの通信先情報とのマッチング
  • ・マルウェア特有の通信パターンの検出
将来的なリスクとなりうる通信
  • ・脆弱なプロトコル(Telnetなど)の利用
内部持ち出しにつながりうる通信
  • ・オンラインストレージに対する通信の調査
  • ・WEBメールサービスに対する通信の調査
Active-Directory
セキュリティ
イベントログ
認証システムに対する攻撃
  • ・パスワード奪取攻撃
  • ・特定脆弱性に対する攻撃時試行時に発生する特徴的なログのパターンの検出

企画・教育フェーズ
ログ取得環境整備コンサルティング

現状調査をもとに、最適なログ取得環境を提言いたします。

  • ・お客様システムの構成情報と利用方法のヒアリング→イベントとログを取得すべき対象機器を提言
  • ・ログに関する管理ポリシー・支援体制・運用プロセス・ログ取得状況の確認→システム全体としてあるべきログ取得環境を提言
  • ・ハードニング(堅牢化)の考え方のヒアリング、実機の確認→ログ取得方法のベストプラクティスを提言

上記3点もふまえ、高度なログ分析環境(Splunk)の導入によるインシデントの予兆検知環境整備を踏まえたログ取得環境の整備方針を提言。


<プロセス>

プロセス 内容
ログ取得の目的と対象の定義 お客様環境をふまえ、ログ取得の目的と対象を定義します。
現状調査 システム担当にログの管理状況をヒアリングすると共に、規定文書のレビュー、設定調査、実機確認により現状を可視化します。
分析 目的・対象の定義結果と現状調査結果を元にベースラインからのギャップを可視化します。
ベストプラクティス提示 ログ取得対象毎にログ取得に関するベストプラクティス設定を提示します。
改善プラン検討 ログ取得環境をあるべき環境に近づけるための施策について、お客様の環境をふまえた優先順位付けを意識して提案いたします。

構築フェーズ
Splunk (統合ログ管理・分析システム) 構築支援/分析App提供

ビッグデータ収集・解析に優れたSplunkを用いた統合ログ管理・分析システムの構築を支援いたします。また、当社の経験や知見をもとに当社が作成した分析App(分析ルールセット)を活用いただくことで、稼働時点から有益な分析環境が整備できます。


分析App (BBSec-App) 例

App名 実装機能

統合ダッシュボード

検知アラート一覧表示

検知状況を元にしたリスクレベル表示 など

認証システム分析App

アカウント不正利用、特権昇格イベントの見地・分析

認証システム固有の脆弱性攻撃イベントの検知・分析 など

デバイス接続分析App

機器の不正接続の検知・分析

端末管理ツール (SKAYSEA等) とのアセット情報連携機能 など

非正規通信分析App

トラフィック傾向分析

通常利用では発生しない通信の検知・分析 など

悪性ソフトウェア侵入分析App

悪性ソフトウェア侵入に伴う影響分析

悪性ソフトウェア潜伏事象の検知・分析 など

脆弱性攻撃分析App

脆弱性攻撃に伴う影響分析 など


ダッシュボード イメージ


運用フェーズ
Splunk (統合ログ管理・分析システム) 運用・分析サービス

Splunkのビッグデータ収集・解析システムに一元管理されたセキュリティログを当社セキュリティ技術者が監視/分析し、インシデント発生時にお客様にいち早くお知らせするサービスです。お客様オンプレミスのSplunk環境に集約されたログを監視/分析するサービスと、当社にログを送付していただき監視/分析するサービスの2種類を準備しています。対象ログは、セキュリティ機器のものだけでなく入退館システムのログ等も含まれ、総合的なセキュリティ管理が可能です。


<サービス特徴>


高い分析力
専門機関でしか入手できない最新の脆弱性情報、攻撃インジケータ(トレンド情報)、早期警戒情報を活用し、監視対象のログを分析しています。
相関分析カスタマイズによる精度向上
ユースケースとの照合が難しい業務アプリケーションを数多く導入しているシステムに対しては、カスタマイズ・チューニングを行いアラート品質を高めます。
IT資産以外のセキュリティデバイスログに対応
入退館システムや勤怠システム、監視カメラのログもセキュリティログとして統合管理が可能です。
オンプレミス、ASPサービス双方を提供
Splunkを活用したオンプレミス環境だけでなく、各種ログをBBSecのセキュリティオペレーションセンターに送付し同一の分析をすることのできるASPサービスも提供しています。
オンプレミス、ASPサービス双方を提供
Splunkを活用したオンプレミス環境だけでなく、各種ログをBBSecのセキュリティオペレーションセンターに送付し同一の分析をすることのできるASPサービスも提供しています。
関連サービスとの連携が可能
ファイアウォール等のセキュリティセンサー監視、CSIRT構築支援、デジタルフォレンジックなど、関連する様々なサービスを提供しています。

マネージドセキュリティサービスに関するお問い合せはこちらから